智慧的數(shù)據(jù)中心運(yùn)維風(fēng)險管理

智慧的數(shù)據(jù)中心運(yùn)維風(fēng)險管理大數(shù)據(jù)時代的運(yùn)維風(fēng)險管理智慧堡壘機(jī)運(yùn)維管理的新方向什么是智慧？《辭海》上解釋為“對事物能認(rèn)識、辨析、判斷處理和發(fā)明創(chuàng)造的能力。作為世界上最成功的高科技企業(yè)之一和創(chuàng)造新概念的高手，IBM公司在2009年伊始提出了智慧地球的概念，以期給地球上每一個看似無序的“物件”全部嵌上智能的“大腦”和“心臟”，以一種“更智慧”的方法來改進(jìn)政府、公司和人們相互交互的方式，以便提高交互的明確性、效率、靈活性和響應(yīng)速度。各行各業(yè)的系統(tǒng)都需要變得更智慧，只有這些系統(tǒng)都演變成智慧系統(tǒng)，智慧地球才能真正實現(xiàn)。近五年來，國內(nèi)數(shù)據(jù)中心建設(shè)的投資年增長率超過20%，各大行業(yè)都在規(guī)劃、建設(shè)和改造各自的數(shù)據(jù)中心。然而，隨著信息化發(fā)展的不斷深入和信息量的爆炸式增長，數(shù)據(jù)中心正面臨著前所未有的挑戰(zhàn)。根據(jù)數(shù)據(jù)中心性能研究機(jī)構(gòu)UptimeInstitute所提供的數(shù)據(jù)，目前人為失誤引發(fā)了大約70%的數(shù)據(jù)中心故障。因此，需要最大程度地減少人為操作的風(fēng)險。據(jù)統(tǒng)計，僅2011年至2012年期間，因數(shù)據(jù)中心內(nèi)部IT運(yùn)維人員的誤操作或越權(quán)訪問，給數(shù)據(jù)中心管理者所帶來的損失就高達(dá)數(shù)百億元。從這些數(shù)據(jù)中可以看到，如何保障數(shù)據(jù)中心IT基礎(chǔ)設(shè)施運(yùn)維管理的可靠和安全，已經(jīng)成為數(shù)據(jù)中心運(yùn)營管理者最為關(guān)注也最棘手的問題。目前，數(shù)據(jù)中心運(yùn)維普遍存在數(shù)據(jù)量急速膨脹，運(yùn)營成本高昂、安全性差，業(yè)務(wù)連續(xù)能力低等一系列挑戰(zhàn)，例如：令各種服務(wù)器上各種各樣的帳號和密碼種類繁多，管理復(fù)雜；令管理員、設(shè)備供應(yīng)商人員、第三方代維人員較多，究竟誰動了配置和數(shù)據(jù)不可定位、追溯；令各種誤操作、違規(guī)操作、惡意操作可能導(dǎo)致系統(tǒng)問題或信息被篡改、破壞、泄漏；令用戶通過遠(yuǎn)程接入進(jìn)行操作存在嚴(yán)重隱患；令對操作行為無法監(jiān)控和審計。目前數(shù)據(jù)中心亟待解決的問題主要有：如何降低運(yùn)維操作導(dǎo)致的安全風(fēng)險；如何降低運(yùn)維操作成本，從復(fù)雜繁重的維護(hù)升級和大量的后續(xù)資金投入中解脫出來；如何保障數(shù)據(jù)中心運(yùn)維管理合規(guī)性。數(shù)據(jù)中心運(yùn)維安全審計系統(tǒng)可以緩解上述問題，然而解決運(yùn)維操作風(fēng)險問題難度大、涉及面多（人員、設(shè)備、資源、應(yīng)用、賬戶、操作等），技術(shù)面廣且難點多，難以有效統(tǒng)一管控。如果產(chǎn)品設(shè)計和實現(xiàn)不到位，容易造成管理復(fù)雜且使用不便，難以適應(yīng)數(shù)據(jù)中心實際環(huán)境和發(fā)展需要。目前部分運(yùn)維堡壘機(jī)廠商的產(chǎn)品普遍存在以下問題：.運(yùn)維堡壘機(jī)的賬戶系統(tǒng)未能與設(shè)備系統(tǒng)賬戶完全分離。運(yùn)維堡壘機(jī)要求所有應(yīng)用訪問均通過代理機(jī)制完成，而不應(yīng)有“落地”行為。然而，有些廠商號稱是運(yùn)維堡壘機(jī)，但仍然遺留了很多跳板機(jī)的設(shè)計，即運(yùn)維操作用戶名都建立在系統(tǒng)上，而不是獨(dú)立的數(shù)據(jù)庫，這種情況下就無法建立“root〃名的運(yùn)維用戶名。.運(yùn)維堡壘機(jī)成為了新的系統(tǒng)脆弱點。由于運(yùn)維堡壘機(jī)是連接前后端的唯一途徑，首當(dāng)其沖成為了被攻擊的重要目標(biāo)，風(fēng)險加大。因此應(yīng)該盡量減少系統(tǒng)加載的服務(wù)或模塊，從而盡可能減少可被攻擊的風(fēng)險。.部署困難，管理繁瑣，用戶操作體驗不佳。特別是在管理設(shè)備種類較多、設(shè)備數(shù)量規(guī)模較大的情況下，存在配置界面復(fù)雜，操作方式不連貫，部署費(fèi)工費(fèi)時等問題。尚思卓越創(chuàng)新地提出了智慧的運(yùn)維操作風(fēng)險管理這一產(chǎn)品理念，推出了尚維操作風(fēng)險管理系統(tǒng)，能夠全面滿足管理者對數(shù)據(jù)中心運(yùn)維安全管控的迫切需求。尚思卓越的研發(fā)團(tuán)隊認(rèn)為，如果能夠經(jīng)由一種更智慧的方法來改變運(yùn)維人員和IT基礎(chǔ)設(shè)施交互的方式，顯著提高交互的安全性、合規(guī)性、效率、靈活性和響應(yīng)速度，既能很好地解決運(yùn)維操作風(fēng)險，又能便捷支持各類運(yùn)維終端應(yīng)用，部署簡單使用方便，管理者將會從復(fù)雜的運(yùn)維管理中解脫出來，而專注于提升數(shù)據(jù)中心的核心價值。為了研發(fā)出一款智慧的產(chǎn)品，在設(shè)計之初，尚思卓越就采取了以下方面的努力，確保尚維操作風(fēng)險管理系統(tǒng)成為一款革新性的產(chǎn)品。令感知需求：尚思卓越擁有出色的研發(fā)團(tuán)隊，根據(jù)多年的IT內(nèi)控和堡壘機(jī)產(chǎn)品研發(fā)經(jīng)驗，深入感知用戶需求，在傳統(tǒng)的運(yùn)維操作風(fēng)險管理的核心要求（身份管理、訪問控制、操作追蹤、合規(guī)報表）之外，準(zhǔn)確定位堡壘機(jī)作為系統(tǒng)中單一故障點的高安全性、高可用性和高可靠性需求；令創(chuàng)新技術(shù)：通過在系統(tǒng)體系架構(gòu)、智能功能和安全保障等個方面的變革創(chuàng)新來滿足用戶需求，并前瞻考慮，進(jìn)一步地滿足用戶2-3年內(nèi)的增長性需求，超出用戶期望。尚思卓越智慧的運(yùn)維風(fēng)險管理的核心是通過尚維風(fēng)險管理系統(tǒng)，使風(fēng)險管理設(shè)備與IT基礎(chǔ)設(shè)施的完美結(jié)合，運(yùn)維人員可以進(jìn)行更高效的操作，做出更明智的決策，降低運(yùn)維操作風(fēng)險，提高信息系統(tǒng)運(yùn)行的安全性和事件的追溯能力，提高企業(yè)工作效率。尚維產(chǎn)品提供的智慧的運(yùn)維風(fēng)險管理主要體現(xiàn)在以下四個方面：更全面的可見性更透徹的感知更深入的智能更可靠的安全智慧的運(yùn)維風(fēng)險管理概念圖更全面的可見性更透徹的感知更深入的智能更可靠的安全智慧的運(yùn)維風(fēng)險管理概念圖令更透徹的感知更透徹的感知是指尚維操作風(fēng)險管理系統(tǒng)可以時刻測量、捕獲、監(jiān)控和傳遞運(yùn)維操作信息，基于專用硬件設(shè)備和裁剪定制的操作系統(tǒng)，通過使用先進(jìn)創(chuàng)新的感知手段，快速獲取運(yùn)維操作信息并進(jìn)行分析，便于立即采取應(yīng)對措施和進(jìn)行事后追溯。?支持對所有主流運(yùn)維協(xié)議的監(jiān)控，包括文本類、文件類、圖形類、Web類、數(shù)據(jù)庫類和應(yīng)用類等多種協(xié)議(如SSH、TELNET、RDP、VNC、X11、(S)FTP、HTTP(S)、ORACLE、InforMix、DB2、MSSQL、Sybase、MYSQL)的監(jiān)控。?支持多類設(shè)備和系統(tǒng)，包括主機(jī)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備及數(shù)據(jù)庫系統(tǒng)等，支持IBMAix、HPUnix、SunSolaris、SCOUnix、Linux、Windows等各種操作系統(tǒng)主機(jī)和各種網(wǎng)絡(luò)、安全設(shè)備；支持WinXP、Vista、Win7、Win8等主流運(yùn)維終端系統(tǒng);支持Windows下所有主流瀏覽器，IE(內(nèi)核)、Firefox、Chrome、Opera等。?具有業(yè)界最強(qiáng)的協(xié)議轉(zhuǎn)發(fā)處理能力，摒棄業(yè)界常用的協(xié)議轉(zhuǎn)發(fā)“黑盒子”，能夠?qū)elnet、FTP、SSH、SFTP、RDP(WindowsTerminal)>Xwindows、VNC、AS400、HTTP、HTTPS協(xié)議進(jìn)行完整的透明轉(zhuǎn)發(fā)，特別是對圖形化操作協(xié)議的轉(zhuǎn)發(fā)性能遠(yuǎn)遠(yuǎn)優(yōu)于其它同類型產(chǎn)品(最大并發(fā)數(shù)為500)，并具有橫向無縫擴(kuò)展能力。自動獲取管理的數(shù)據(jù)中心的設(shè)備賬戶和設(shè)備信息，方便管理員了解數(shù)據(jù)中心IT設(shè)備狀況并及時進(jìn)行更新和操作。令更全面的可見性更全面的可見性是指通過運(yùn)維堡壘機(jī)，使得管理者能更方便的了解當(dāng)前的運(yùn)維情況，更好地對運(yùn)維操作狀況進(jìn)行實時監(jiān)控，從全局的角度分析風(fēng)險并實時審計，從而幫助管理者完成安全可控的IT運(yùn)維。尚維操作風(fēng)險管理系統(tǒng)提供基于數(shù)據(jù)包的協(xié)議分析、還原虛擬化技術(shù)可以實現(xiàn)操作界面模擬，將所有的操作轉(zhuǎn)換為圖形化界面予以展現(xiàn)，實現(xiàn)100%審計信息不丟失。尚維操作風(fēng)險管理系統(tǒng)提供多種類型操作信息回放展現(xiàn)，除針對運(yùn)維操作圖形化審計功能的展現(xiàn)外，同時還能對字符進(jìn)行分析，包括命令行操作的命令以及回顯信息和非字符型操作時鍵盤、鼠標(biāo)的敲擊信息。使用更貼切、操作更易用，支持常規(guī)終端應(yīng)用自適應(yīng)關(guān)聯(lián)，支持常規(guī)終端應(yīng)用顯示真實目標(biāo)IP地址，注重細(xì)節(jié)上的用戶體驗。報表全視角模型展現(xiàn)，提供圖形、表格等各類可視化展現(xiàn)方式，支持定期發(fā)送自定義報表，為用戶提供全面的運(yùn)維審計和合規(guī)性管理視圖。令更深入的智能更深入的智能是指深入分析收集到的數(shù)據(jù)，以獲取細(xì)粒度、精確的運(yùn)維審計信息，更加系統(tǒng)、全面的提供IT操作風(fēng)險控制、內(nèi)控安全和合規(guī)性等方面的完善、有效的審計手段。目前通用的審計工具大多從網(wǎng)絡(luò)層面或服務(wù)器日志層面獲取較為龐雜的信息，往往會導(dǎo)致關(guān)鍵的管理信息或敏感操作湮沒于日常業(yè)務(wù)數(shù)據(jù)中，或無法追溯操作行為軌跡、了解操作行為意圖，影響審計的有效性或效率。提供全面的操作追蹤服務(wù)，再現(xiàn)關(guān)鍵行為軌跡，探索操作意圖，支持全局實時監(jiān)控與敏感過程回放。首創(chuàng)設(shè)備組內(nèi)資源的掃描機(jī)制，便于智能化管理后端眾多資源。這樣在設(shè)備組設(shè)定好設(shè)備范圍后，資源自動掃描將極大地減少設(shè)備的前期部署與后期管理成本，能夠充分滿足現(xiàn)有或未來設(shè)備數(shù)量較多的場景。簡潔易用的人機(jī)交互，重視細(xì)節(jié)體驗，采用符合用戶線性化操作習(xí)慣的界面交互設(shè)計、符合用戶層次化思維的設(shè)備管理界面設(shè)計以及支持用戶關(guān)鍵字全列表視圖模糊查詢設(shè)計等人性化的交互設(shè)計，降低產(chǎn)品上線后的使用和操作成本。業(yè)界唯一采用非結(jié)構(gòu)化數(shù)據(jù)庫的堡壘機(jī)產(chǎn)品，采用為堡壘機(jī)數(shù)據(jù)特征量身定制的靈活高效NoSQL數(shù)據(jù)庫，具有復(fù)雜度低、擴(kuò)展性好、吞吐率高等特點，在靈活，定制、升級和遷移過程中不需更改庫表結(jié)構(gòu)，升級、定制成本低，極大提高了產(chǎn)品的擴(kuò)展性和可維護(hù)性。令更可靠的安全更可靠的安全是指通過對當(dāng)前的安全實踐進(jìn)行評估并將其與業(yè)務(wù)需求和經(jīng)營目標(biāo)統(tǒng)一起來，實現(xiàn)運(yùn)維操作管理和產(chǎn)品本身的安全。尚維操作風(fēng)險管理系統(tǒng)提供高效的身份和訪問控制管理，隨著IT基礎(chǔ)架構(gòu)的互聯(lián)化和向云計算遷移，控制和監(jiān)控用戶的訪問特權(quán)與活動變得越來越關(guān)鍵，也越來越復(fù)雜。尚思卓越運(yùn)維風(fēng)險管理解決方案可幫助企業(yè)減輕來自未授權(quán)訪問的風(fēng)險，支持有效的身份和訪問控制管理。提供口令托管和改密功能，能夠在增強(qiáng)安全性的同時，簡化對運(yùn)維口令的管理。強(qiáng)大的抗攻擊性，采用口令防嗅探機(jī)制，在系統(tǒng)認(rèn)證層面，通過強(qiáng)加密方式傳輸主從帳號口令，避免可能的嗅探攻擊行為，在運(yùn)維操作層面，采用動態(tài)口令，基于OTP(one-timepassword)認(rèn)證方式加密整個運(yùn)維過程，保障運(yùn)維安全。完備的高可用性，支持雙機(jī)熱備中設(shè)備間配置實時同步和操作日志零延時同步，支持獨(dú)立心跳線和獨(dú)立數(shù)據(jù)線，支持浮動IP、支持查看同步狀態(tài)，全方位保障堡壘機(jī)的高可用性。完善的數(shù)據(jù)安全策略，采用業(yè)界首創(chuàng)的不落地操作日志網(wǎng)絡(luò)回放技術(shù)，確保數(shù)據(jù)隔離，對系統(tǒng)內(nèi)敏感信息、數(shù)據(jù)加密存儲，采用完備的口令管理，并支持密函打印。完備的自身安全性保障，尚維操作風(fēng)險管理系統(tǒng)采用專門設(shè)計的安全、可靠、高效的硬件平臺以及裁剪定制的Linux內(nèi)核，不開放3389、21、22、23等高危端